SpringBoot自定义过滤器实现高频IP限制访问

最新推荐文章于 2025-05-28 07:28:19 发布
转载 最新推荐文章于 2025-05-28 07:28:19 发布 · 5.7k 阅读 · 20

本文介绍了一种通过自定义过滤器和监听器限制高频IP访问的方法,以防止恶意攻击。通过统计用户访问次数和时间,对超过阀值的IP进行1小时的限制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

代码走查的时候走查老师提出建议对高频ip做限制,防止不法ip攻击,去网上看了很多方法,最多的就是自定义注解,然后定义一个注解的实现类利用aop去验证该限制接口的请求ip是否符合,但是缺点就是我们不可能每一个接口都要去加注解。
还有一种方法就是利用过滤器去验证每一个请求的ip,原文地址,感谢东哥(我们不生产代码,我们只是代码的搬运工_
下面附上代码:

过滤器:统计用户访问次数,记录访问时间、封禁时间
监听器:工程运行时初始化IP存储器(此处用的Map)

自定义过滤器:

/**
 * 自定义过滤器,用来判断IP访问次数是否超限
 * 如果前台用户访问网站的频率过快,则判定该ip恶意刷新操作,
 * 限制该IP的访问,1小时后自己解除限制
 */
@WebFilter(urlPatterns = "/*")
public class MyIpFilter implements Filter {

    private static final Logger logger = LoggerFactory.getLogger(MyIpFilter.class);

    /**
     * 默认限制时间(单位:ms)
     */
    private static final long LIMITED_TIME_MILLIS = 60 * 60 * 1000;

    /**
     * 用户连续访问最高阀值,超过该值则认定为恶意操作的IP,进行限制
     */
    private static final int LIMIT_NUMBER = 50;

    /**
     * 用户访问最小安全时间,在该时间内如果访问次数大于阀值,则记录为恶意IP,否则视为正常访问
     */
    private static final int MIN_SAFE_TIME = 1000;

    private FilterConfig config;

    @Override
    public void init(FilterConfig filterConfig) {
        this.config = filterConfig;    //设置属性filterConfig
    }

    /**
     * (non-Javadoc)
     *
     * @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest, javax.servlet.ServletResponse, javax.servlet.FilterChain)
     */
    @SuppressWarnings("unchecked")
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        ServletContext context = config.getServletContext();
        Map<String, Long> limitedIpMap = (Map<String, Long>) context.getAttribute("limitedIpMap");
        filterLimitedIpMap(limitedIpMap);
        String ip = request.getRemoteHost();
        // 判断是否是被限制的IP,如果是则跳到异常页面
        if (isLimitedIP(limitedIpMap, ip)) {
            long limitedTime = limitedIpMap.get(ip) - System.currentTimeMillis();
            request.setAttribute("remainingTime", ((limitedTime / 1000) + (limitedTime % 1000 > 0 ? 1 : 0)));
            logger.error("IP访问过于频繁=>:" + ip);
            request.getRequestDispatcher("/error/requestLimit").forward(request, response);
            return;
        }
        // 获取IP存储器
        Map<String, Long[]> ipMap = (Map<String, Long[]>) context.getAttribute("ipMap");
        // 判断存储器中是否存在当前IP,如果没有则为初次访问,初始化该ip
        // 如果存在当前ip,则验证当前ip的访问次数
        // 如果大于限制阀值,判断达到阀值的时间,如果不大于[用户访问最小安全时间]则视为恶意访问,跳转到异常页面
        if (ipMap.containsKey(ip)) {
            Long[] ipInfo = ipMap.get(ip);
            ipInfo[0] = ipInfo[0] + 1;
            logger.info("当前IP第[" + (ipInfo[0]) + "]次访问");
            if (ipInfo[0] > LIMIT_NUMBER) {
                Long ipAccessTime = ipInfo[1];
                Long currentTimeMillis = System.currentTimeMillis();
                if (currentTimeMillis - ipAccessTime <= MIN_SAFE_TIME) {
                    limitedIpMap.put(ip, currentTimeMillis + LIMITED_TIME_MILLIS);
                    request.setAttribute("remainingTime", ((LIMITED_TIME_MILLIS / 1000) + (LIMITED_TIME_MILLIS % 1000 > 0 ? 1 : 0)));
                    logger.error("IP访问过于频繁:" + ip);
                    request.getRequestDispatcher("/error/requestLimit").forward(request, response);
                    return;
                } else {
                    initIpVisitsNumber(ipMap, ip);
                }
            }
        } else {
            initIpVisitsNumber(ipMap, ip);
            logger.info("首次访问该网站");
        }
        context.setAttribute("ipMap", ipMap);
        chain.doFilter(request, response);
    }

    @Override
    public void destroy() {
        // TODO Auto-generated method stub
    }

    /**
     * @param limitedIpMap
     * @Description 过滤受限的IP,剔除已经到期的限制IP
     */
    private void filterLimitedIpMap(Map<String, Long> limitedIpMap) {
        if (limitedIpMap == null) {
            return;
        }
        Set<String> keys = limitedIpMap.keySet();
        Iterator<String> keyIt = keys.iterator();
        long currentTimeMillis = System.currentTimeMillis();
        while (keyIt.hasNext()) {
            long expireTimeMillis = limitedIpMap.get(keyIt.next());
            if (expireTimeMillis <= currentTimeMillis) {
                keyIt.remove();
            }
        }
    }

    /**
     * @param limitedIpMap
     * @param ip
     * @return true : 被限制 | false : 正常
     * @Description 是否是被限制的IP
     */
    private boolean isLimitedIP(Map<String, Long> limitedIpMap, String ip) {

        if (limitedIpMap.containsKey(ip)) {
            return true;
        }
        return false;
    }

    /**
     * 初始化用户访问次数和访问时间
     *
     * @param ipMap
     * @param ip
     */
    private void initIpVisitsNumber(Map<String, Long[]> ipMap, String ip) {
        Long[] ipInfo = new Long[2];
        ipInfo[0] = 0L;// 访问次数
        ipInfo[1] = System.currentTimeMillis();// 初次访问时间
        ipMap.put(ip, ipInfo);
    }
}

监听器:

@WebListener
public class MyApplicationListener implements ServletContextListener {

    private Logger logger = LoggerFactory.getLogger(MyApplicationListener.class);

    @Override
    public void contextInitialized(ServletContextEvent sce) {
        logger.info("liting: contextInitialized");
        logger.info("MyApplicationListener初始化成功");
        ServletContext context = sce.getServletContext();
        // IP存储器
        Map<String, Long[]> ipMap = new HashMap<String, Long[]>();
        context.setAttribute("ipMap", ipMap);
        // 限制IP存储器:存储被限制的IP信息
        Map<String, Long> limitedIpMap = new HashMap<String, Long>();
        context.setAttribute("limitedIpMap", limitedIpMap);
        logger.info("ipmap:" + ipMap.toString() + ";limitedIpMap:" + limitedIpMap.toString() + "初始化成功-----");
    }

    @Override
    public void contextDestroyed(ServletContextEvent sce) {
        // TODO Auto-generated method stub
    }
}

然后在SpringBoot启动类添加扫描过滤器

@ServletComponentScan(basePackages = "com.ziding.product.cooperation.requestLimit")

如果被限制后将会转发到新的接口

@RestController
public class RequestLimit {

    /**
     * 对高频ip限制,携带剩余限制时间
     *
     * @param request
     * @return
     */
    @RequestMapping("/error/requestLimit")
    public ResultEntity requestLimitTime(HttpServletRequest request) {
        Object limitTime = request.getAttribute("remainingTime");
        return ResultTemplate.errorData(5001, "IP已被限制,请稍后在试~", limitTime);
    }
}
5步轻松搞定!SpringBoot IP白名单限制,再也不怕恶意访问
java专栏
05-26 1691
然后,我们需要创建一个自定义拦截器,实现接口,并在preHandle方法中检查请求的IP地址是否在白名单中。@Component@Autowired@Override// 获取请求的IP地址// 检查IP地址是否在白名单中// 在白名单中,允许访问} else {// 不在白名单中,拒绝访问通过上述步骤,我们已经在SpringBoot应用中成功入了IP白名单的功能。现在,只有在白名单中的IP地址才能访问应用中的接口,从而提高了应用的安全性。
springboot2 指定ip_Springboot过滤器禁止ip频繁访问功能实现
weixin_39598941的博客
12-20 821
在开发 Web 项目的时候,经常需要过滤器来处理一些请求,包括字符集转换什么的,记录请求日志什么的等等。在之前的 Web 开发中,我们习惯把过滤器配置到 web.xml 中,但是在 SpringBoot 中,兵没有这个配置文件,该如何操作呢?1.编写一个过滤器:import lombok.extern.slf4j.Slf4j;import javax.servlet.*;import javax....
Springboot过滤器禁止ip频繁访问功能实现
08-19
主要介绍了Springboot过滤器禁止ip频繁访问功能实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springboot 拦截高频访问
海棠花未眠的博客
02-19 2256
写了一个小站点,帮助我们学校的同学应付考试。当然也赚了一点钱…但就是有一些调皮的同学过来攻击我。无脑扫描我的web接口,之前用的别人的内网穿透的工具,因为本身价格不是很高,所以他对 TCP连接数有分钟限制,导致了我的站点无法被正常访问。但是我拦截了高频访问,只是限制了他爬取我的web资源,并不能根本解决TCP连接限制这个问题,后来,我买了阿里云,自己搭建内网穿透。问题解决。 好了废话不多说,...
SpringBoot三十:使用Guava的RateLimiter限制IP访问接口频率
​​
11-14 7102
pom文件引入以下依赖 <dependency> <groupId>com.google.guava</groupId> <artifactId>guava</artifactId> <version>28.1-jre</version> </dependency> RateLimiter...
SpringBoot限制IP访问频率
学习 - 总结 - 分享 - Francis
03-23 4817
引言 显示中存在恶意ip频繁请求情况,本文通过自定义注解+拦截器实现限制ip访问的频率   实现 1. 添pom依赖 <dependency> <groupId>org.springframework</groupId> <artifactId>spring-aspects</artifact...
Spring Security过滤器链中自定义过滤器实现与应用
最新发布
静水深流
05-28 1257
本文介绍了Spring Security中通过addFilterAt()方法在过滤器链特定位置插入自定义认证过滤器的机制。重点分析了三种典型替代方案:静态头值认证、对称密钥签名认证和动态口令认证,并给出静态密钥认证的完整实现示例。文章详细说明了StaticKeyAuthenticationFilter的核心认证逻辑及安全配置集成方法,强调了生产环境中的密钥安全管理要求。此外,还介绍了框架提供的GenericFilterBean和OncePerRequestFilter等增强基类特性,建议在日志记录等场景优先
java,防止浏览器缓存敏感数据,拦截器和过滤器的区别
LeonNo11的博客
02-18 771
Filter(过滤器)和 Interceptor(拦截器)都是用于拦截 HTTP 请求的机制,但它们的工作方式、拦截范围和应用场景不同。作用范围 整个请求(包括静态资源,如 HTML、CSS、JS) Spring MVC 处理的请求(不拦截静态资源)Interceptor 依赖 Spring MVC,主要拦截 Controller 请求,如 权限校验、日志拦截。Filter 更底层,适用于 所有 HTTP 请求,包括静态资源,如 CORS、编码转换 等。
一个简单的springboot项目(有源码)
Saniana的博客
08-24 1695
开发一个springboot项目代码迭代整合工具 gitee建模意义程序处理方式开发功能的步骤web服务网络状态码web应用的开发分层springboot的作用springboot框架搭建框架中各组件作用框架的演变如何提取hive中的表结构创建springboot 工程的引导模版 要选择aliyun ,否则不支持java8springboot 工程spring 相关组件代码生成器动态数据源整合druid连接池具体代码:代码说明:Controller层注解 说明小练习Redis(代码)5大数据类型 场景自测
springboot 反爬
03-27
此代码片段展示了如何创建自定义过滤器以验证 `User-Agent` 的有效性[^1]。 --- #### 2. 验证码机制 对于敏感操作(如登录、注册),可以通过引入验证码进一步增强安全性。Spring Boot 支持集成第三方库生成图形...
SpringBoot 接口访问频率限制(一)
04-01
频率控制代码
关于ip过滤器 spring security例子
09-23
例子讲解可以参看博客:blog.youkuaiyun.com/dsundsun
spring security3.x学习(22)_关于ip过滤器
雷哥AI工程化
09-23 1961
看到电子书的第六章了,我粗略的看了一下,发现第六章的知识很乱,需要前期的基础知识要很好才可以看懂, 所以从这次开始,我自己开始动手写一些例子进行练习(其实基础知识基本上已经学完了,剩下的都是高级配置了) 我先写好了一个模板。以后我们学习就可以根据这个模板进行修改了。(spring mvc + spring security) 下载地址:http://download.csdn
聊聊Spring boot项目中IP白名单限制
andyLyysh的博客
04-27 1679
IP白名单限制解决方案,Spring boot接口实现白名单限制,使用Nignx实现IP是白名单限制
SpringBoot 接口访问频率限制(二)
qq_40694890的博客
03-25 2825
Spring注解实现频率控制
spring boot 通过aop防止api连续重复访问
w981912536的博客
04-28 535
根据redisKey进行判断,是否拦截。redisKey组成:自己随便定义的前缀:PREVENT_DUPLICATION_PREFIX请求的URL:request.getRequestURI()接口请求的所有参数:request.getParameterMap()SHA1密的方法信息:getMethodSign()重复提交判断依据:通过redisTemplate.opsForValue().set()添请求的信息到redis。设置key的失效时间,失效时间在注解上设置。
使用Spring Boot和Redis实现用户IP接口限流的详细指南
pleaseprintf的博客
08-13 1156
在高并发场景下,为了保护系统免受恶意请求的影响,接口限流是一项重要的安全措施。本文将介绍如何使用Spring Boot和Redis来实现用户IP的接口限流功能,以保护你的应用程序免受恶意请求的干扰。通过本文,你已经学会了如何使用Spring Boot和Redis来实现用户IP的接口限流功能。这对于保护你的应用程序免受频繁请求的影响非常重要,能够有效提升应用程序的稳定性和安全性。希望本文对你在实现接口限流功能时有所帮助。如果你有任何问题或疑问,欢迎留言讨论。
SpringBoot整合ip2region实现使用ip监控用户访问城市
summon的博客
07-04 1467
那么这个功能都是如何实现的呢?一般有两个方法:由于每个手机都不一定会打开 GPS,而且有时并不太需要太精确的位置(到城市这个级别即可),所以根据 IP 地址入手来分析用户位置是个不错的选择。所以ip2region框架应运而生,GitHub上⭐️已经10.6K,值得一用。GitHub地址:https://github.com/lionsoul2014/ip2region这里有三份ip地址库,我们将ip2region.xdb复制出来,等下我们的java项目中需要使用到。pom.xml依赖如下: 好依赖后,在目
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值